← العودة إلى المدونة
إحاطة أمنية5 min read2026-05-05

الإحاطة الأمنية، 5 مايو 2026: ثغرة Weaver RCE وCopy Fail وباب خلفي في PyTorch Lightning وتصيد عبر Amazon SES

النمط هذا الصباح واضح: المهاجمون يستغلون البنية التي تبدو موثوقة. برنامج سير العمل، وأنوية لينكس، واعتماديات المطورين، والبريد السحابي الشرعي أصبحت مسارات هجوم سريعة بمجرد أن افترضت الفرق أن القناة نفسها آمنة.


الخلاصة: حدّث Weaver E-cology وأنوية لينكس بسرعة، وأزل lightning 2.6.3 من أي مكان تم استيراده فيه، وبدّل الأسرار المكشوفة، وتعامل مع إساءة استخدام Amazon SES كمشكلة هوية سحابية لا مجرد مشكلة تصفية بريد.


1. يذكّرنا Weaver E-cology بأن مسارات التصحيح المخفية تتحول إلى مسارات اختراق حقيقية

أفاد BleepingComputer بأن CVE-2026-22679 في Weaver E-cology تتعرض للاستغلال منذ منتصف مارس. ووصفت Vega ثغرة RCE غير موثقة عبر واجهة debug مكشوفة تسمح بمرور معاملات يحددها المهاجم إلى وظائف RPC الخلفية وأوامر النظام. وشملت الأنشطة المرصودة استطلاعاً، وحمولات PowerShell، وجلباً متكرراً لسكربتات بلا ملفات.


2. انتقلت Copy Fail بالفعل من ورقة بحثية إلى خطر root حي

أضافت CISA الثغرة CVE-2026-31431 المعروفة باسم Copy Fail إلى قائمة KEV بعد يوم واحد من الكشف العام. تقع الثغرة في واجهة algif_aead وتسمح لمستخدم محلي غير مميز بالحصول على root عبر كتابة بايتات متحكم بها في page cache لأي ملف قابل للقراءة. وقالت Theori إن الاستغلال نفسه عمل بشكل موثوق على Ubuntu وAmazon Linux وRHEL وSUSE.


3. حوّل PyTorch Lightning 2.6.3 اعتماداً ذكياً شائعاً إلى فخ أسرار عند الاستيراد

كان إصدار lightning 2.6.3 الخبيث على PyPI ينزل Bun تلقائياً ويشغّل حمولة JavaScript مموهة عند الاستيراد. ووفقاً للتقرير استهدفت الحمولة بيانات المتصفح وملفات .env ومفاتيح API واعتمادات السحابة، كما دعمت تنفيذ أوامر عشوائية. ومع أكثر من 11 مليون تنزيل شهرياً، لا تحتاج الحزمة إلى إصابة واسعة لتتحول إلى فشل ثقة خطير.


4. يوضح التصيد عبر Amazon SES كيف يمكن للثقة السحابية أن تعطل الدفاعات المعتمدة على السمعة

رصدت Kaspersky ارتفاعاً في رسائل التصيد المرسلة عبر Amazon SES، وغالباً ما كان ذلك ممكناً بسبب مفاتيح AWS IAM مكشوفة في مستودعات عامة أو ملفات .env أو نسخ احتياطية أو صور أو حاويات S3 مكشوفة. وبما أن الرسائل تخرج من بنية SES الشرعية، يمكنها اجتياز SPF وDKIM وDMARC وجعل الحظر التقليدي أقل فاعلية بكثير.


ما الذي يجب على فرق الأمن فعله اليوم

  1. ترقيع Weaver E-cology وأنوية لينكس الضعيفة قبل أي أعمال نظافة أقل أولوية.
  2. فحص جرد البرمجيات ومسارات CI بحثاً عن lightning 2.6.3 ثم تدوير كل سر تأثر به.
  3. مراجعة مسارات تعرض AWS IAM والتعامل مع إساءة استخدام SES باعتبارها فشلاً في الهوية وإدارة الأسرار.
  4. تنبيه المستجيبين إلى أن البنية الموثوقة نفسها هي موضوع اليوم: نقاط debug والأنوية والحزم والبريد السحابي كلها تحتاج تحققاً لا افتراضاً.

المصادر


الخاتمة: الفشل المشترك اليوم هو الثقة الخاطئة في القنوات التي تبدو شرعية. العلاج ممل لكنه حاسم: رقع بسرعة، وبدّل الأسرار بلا تردد، وتحقق من كل منصة موثوقة كما لو كانت بالفعل جزءاً من مسار الهجوم.

اعثر أولاً على المسارات الموثوقة التي سيستغلها المهاجمون

تساعد KENSAI الفرق على رسم الخدمات المكشوفة، ومسارات الهوية الضعيفة، والاعتماديات الخطرة، والأسطح السحابية قبل أن تتحول البنية الموثوقة إلى وقود للحوادث.

ابدأ فحصاً مجانياً →

ابقَ يقظاً.

🗡️ KENSAI Security Team